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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 

PCT/FROO/02009 



I. Basis of the report 



1 . With regard to the elements of the international application:* 
| "| the international application as originally filed 

the description: 

pages 1-7 
pages 
pages 



. as originally filed 



. filed with the demand 



filed with the letter of 



the claims: 

pages 

pages 

pages 

pages 



1-8 



. as originally filed 

. as amended (together with any statement under Article 19 

. filed with the demand 



filed with the letter of 



□ 



the drawings: 
pages 
pages 
pages 



as originally filed 



filed with the demand 



filed with the letter of 



| | the sequence listing pan of the description: 

pages ' 

pages 
pages 



. as originally filed 



. filed with the demand 



filed with the letter of 



With regard to the language, all the elements marked above were available or furnished to this Authority in the language in which 
the international application was filed, unless otherwise indicated under this item. 

Thes e elements were available or furnished to this Authority in the following laneuaee which is 

□ 

the language of a translation furnished for the purposes of international search (under Rule 23.1(b)) 

□ 

the language of publication of the international application (under Rule 48.3(b)). 

the language of the translation furnished for the purposes of international preliminary examination (under Rule 55.2 and/ 
or 55.3). 

With regard to any nucleotide and/or amino acid sequence disclosed in the international application, the international 
preliminary examination was carried out on the basis of the sequence listing: 

□ 

contained in the international application in written form. 

□ 

filed together with the international application in computer readable form. 

□ 

furnished subsequently to this Authority in written form. 

□ 

furnished subsequently to this Authority in computer readable form. 

The statement that the subsequently furnished written sequence listing does not go beyond the disclosure in the 
international application as filed has been furnished. 

The statement that the information recorded in computer readable form is identical to the written sequence listing has 
been furnished. 



□ 



The amendments have resulted in the cancellation of: 

□ 

the description, paaes 

□ 

the claims. Nos. 
1 1 the drawings, sheets/fig 



r— j repon has l?een esla b|j s h e( j as if (some of) the amendments had not been made, since they have been considered to go 

' — 1 beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70. 2(c)). ** 

* Replacement sheets which have been furnished to the receiving Office in response to an invitation under Article 14 are referred to 
in this report as "originally filed" and are not annexed to this report since thev do not contain amendments (Rule 70.16 
and /0. 1 7 j. 

** Any replacement sheet containing such amendments must be referred to under item J and annexed to this report. 
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V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



Statement 
Novelty (N) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-8 



1-8 



1-8 



YES 
NO 
YES 
NO 

YES 
NO 



2. 



Citations and explanations 



The invention relates to an improvement to a method 
for generating random numbers used in cryptosystems 
such as smart card random number generators. 



The ANSI X9.17 standard specifies a method for 
generating a random number on the basis of a 
function having an inverse that is difficult to 
compute . 



It has become apparent that the implementation of a 
secret key encryption algorithm (for example the DES 
; algorithm) in a smart card is vulnerable to attacks 

whereby the secret key is discovered by means of a 
differential power analysis. The principle of these 
DPA attacks is based on the fact that the power 
consumption of the microprocessor executing 
instructions varies depending on the data handled. 
In order to find the secret key, the input or output 
message of the encryption algorithm must be known. 

It follows that the two random number generation 
methods described in the introductory part of the 
application are vulnerable to DPA attacks because 
the random numbers output by these two methods are 
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the output messages of the encryption algorithm. 

On the basis the power consumption of the smart 
card, it is therefore possible to discover the 
encryption key k and, thereafter, to predict the 
output of the random generator. 

3. The method of the invention consists of modifying 

the random number generation methods described above 
in such a way that they are resistant to attacks 
such as DPA attacks. Said two methods are modified 
in that an intermediate integer variable is inserted 
into the computing loop just after S has been 
replaced with S xor I, which variable will adopt the 
value of the result of the encryption of S with the 
DES algorithm using the key K. 

In this improved random number generation method, an 
attack involving the measurement of power, such as a 
DPA attack, is impossible because the input and 
output messages of the DES encryption algorithm are 
not known. 
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VIII. Certain observations on the international application 



The following observations on the clarity of the claims, description, and drawings or on the question whether the claims are fully 
supported by the description, are made: 

1. In the claims, only reference signs referring to the 
drawing (s) should be placed between parentheses. 
The expression "for Data Encryption Standard" should 
not be placed between parentheses (PCT Article 6) 
because it defines the acronym DES . 

2. The expressions "the quality of which is deemed to 
be inadequate" and "of inadequate quality" in Claim 
2 are vague and ambiguous and cast doubt on the 
meaning of the technical features to which they 
refer. It follows that the subject matter of said 
claim is not clearly defined (PCT Article 6) . 
Furthermore, the application does not contain any 
information defining this criterion of quality. 
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(43) Date de la publication Internationale (10) Numero de publication Internationale 
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(54) Title: METHOD FOR IMPROVING A RANDOM NUMBER GENERATOR TO MAKE IT MORE RESISTANT AGAINST 
ATTACKS BY CURRENT MEASURING 

(54) Titre: PROCEDE D' AMELIORATION D'UN GENERATEUR ALEATOIRE EN VUE DE LE RENDRE RESISTANT 
CONTRE LES ATTAQUES PAR MESURE DE COURANT 

(57) Abstract: The invention concerns a modification of two methods for random number generation to make them more resistant 
to attacks by current measuring. It is particularly designed to be implemented in electronic devices such as smart cards, PCMCIA, 
badges, contactless cards or any other portable device. It consists in: encrypting with the DES algorithm using the key K a value D 
^ representing a date information and introducing the result in an integer variable I; 2) for j ranging from 1 to m: 2a) substituting s 
^ with s x or I; 2b) introducing in the integer variable y the result of the encryption of s with the DES algorithm using the key K; 2c) 
^ introducing in xj the result of y or s; 2d) suostituting s with y x or I; 2e) introducing in s the result of the encryption of s with the 
\fl DES algorithm using the key K; 3) restoring in output the sequence (xl, x2, , xm). 

^? (57) Abrege: La presente invention conceme une modification de deux proceaes de generation de nombre aleatoire en vue de les 
rendre resistants contre des attaques par mesure de couranL Elle est parti culierement destinee a etre mise en oeuvre dans des dis- 

^ positifs electroniques du type carte a puce, PCMCIA, badges, cartes sans contact ou tout autre appareil portable. 1) Chiffrer avec 
ralgorithme DES utilisant la clef K une valeur D representant une information de date et mettre le resultat dans une variable entiere 

^ I; 2) pour j allant de lam fairer 2a) remplacer s par s xor I; 2b) mettre dans la variable entiere y le resultat du chiflrement de s avec 
r algorithme DES utilisant la clef K; 2c) mettre dans xj le resultat de y xor s; 2d) remplacer s par y xor I; 2e) mettre dans s le resultat 

^ du chiffrement de s avec ralgorithme DES utilisant la clef K; 3) retourner en sortie la suite (xl , x2, xm) 
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PROCEDE D' AMELIORATION D'UN GENE RATE UR 
ALEATOIRE EN VUE DE LE REND RE RESISTANT 
CONTRE LES ATTAQUES PAR ME SURE DE 
COURANT 

J 

L' invention concerne une amelioration d'un 
procede de generation de nombres aleatoires ou 
source aleatoire, en particulier des sources 
5 mises au point dans le cadre de systemes 
cr ypt ogr aphique s teis que les generateurs de 
nombres aleatoires embarques a bord de cartes a 
puce . 

Elle est particulierement destinee a etre 
10 mise en oeuvre dans le test et la validation de 
dispositifs electroniques du type carte a puce, 
PCMCIA, badges, cartes sans contact ou tout 
autre appareil portable. 

15 La plupart des systemes de cr yptogr aphie a 

cle publique (dite aussi crypt ogr aphi e 

asymetrique) et cle secrete (dite aussi 
crypt ogr aphie symetrique) necessitent le tirage 
d'aleas secrets. II est primordial que de tels 

20 aleas, ou nombres, destines a servir comme cles 
ul ter ieurement , soient a priori imprevisibles 
et ne presentent pas de regularites permettant 
de les retrouver par des strategies de recherche 
exhaustive ou exhaustive amelioree pour laquelle 
i 25 les cles les plus probables sont cherchees en 

premier lieu. 

II est possible de construire une source 
aleatoire a partir d'une fonction dont il est 
30 difficile de calculer l'inverse. Soit f une 
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telle fonction. II est possible de construire 
une source aleatoire en commengant par 
selectionner une variable d' initialisation 
aleatoire s et en appliquant la fonction f a la 

5 suite de valeurs s, s + 1, s + 2,...La sortie de la 
source aleatoire est definie comme 

f ( s ) , f ( s + 1 ) , f ( s + 2 ) , ...En fonction des proprietes 
de la fonction f utilisee, il peut etre 
preferable de ne garder que quelques bits de la 

0 sortie f(s),f(s + l),f(s + 2)... 

Une methode de generation de nombre aleatoire 
a partir d'une fonction dont il est difficile de 
calculer r inverse est specifiee dans le 

5 standard ANSI X9.17. La methode utilise 
l'algorithme DES (pour Data Encryption Standard) 
avec une cle secrete K, qui ne doit etre 
utilisee que dans le cadre de cet algorithme. Le 
procede de generation de nombre aleatoire prend 

0 en entree un entier aleatoire et secret s de 
taille 64 bits et un entier m, et renvoie en 
sortie m entiers aleatoires de 64 bits xi, X2,.~, 
x m . Le procede est caracterise par les trois 
etapes suivantes : 

5 

1) Chiffrer avec l'algorithme DES utilisant la 
clef K une valeur D representant une 
information de date et mettre le resultat dans 
la variable entiere I. 
0 2) Pour j allant de 1 a m executer les etapes 

suivantes : 
2)a) Remplacer s par s xor I. 
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2)b) Mettre dans xj le resultat du 
chif f rement de s avec 1'algorithme DES utilisant 
la clef secrete K. 

2)c) Remplacer s par xj xor I. 
5 2)d) Mettre dans s le resultat du 

chi f f rement de s avec 1'algorithme DES utilisant 
la clef secrete K. 

3) Retourner en sortie la suite (xi, x2#— # 
x m ) • 

10 

II est possible d'utiliser ce generateur 
aleatoire dans une application pour laquelle un 
generateur aleatoire est deja disponible, mais 
de qualite jugee insuf f isante , par exemple un 

15 generateur aleatoire embarque dans le 

microprocesseur d'une carte a puce. Dans ce cas, 
le procede decrit precedemment est utilise pour 
ameliorer la qualite du generateur aleatoire. Ce 
procede prend en entree un entier aleatoire et 

20 secret s de taille 64 bits et un entier m, et 
renvoie en sortie m entiers aleatoires de 64 
bits xi, X2,»., x m . Le procede utilise 
1'algorithme DES (pour Data Encryption Standard) 
avec une cle secrete K, qui ne doit etre 

25 utilisee que dans le cadre de cet algorithme . Le 
procede utilise une source S de qualite jugee 
insuffisante d'entiers aleatoires sur 64 bits. 
Le procede est caracterise par les 3 etapes 
suivantes : 

30 

1) Pour j allant de 1 a m faire 

l)a) Generer un entier I a l'aide de la 
source S . 
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l)b) Remplacer s par s xor I. 

l)c) Mettre dans xj le resultat du 
chiffrement de s avec 1 ' algor ithme DES utilisant 
la clef K. 

5 l)d) Generer un entier I a l'aide de la 

source S . 

l)e) Remplacer s par xj xor I. 

l)f) Mettre dans s le resultat du 
chiffrement de s avec l'algorithme DES utilisant 
10 la clef K. 

2) Retourner en sortie la suite (xi, x2,..., 
x m ) • 



II est apparu que 1 ' implementation sur carte 
a puce d'un algorithme de chiffrement a cle 
secrete (par exemple l'algorithme DES) etait 
vulnerable a des attaques consistant en une 
analyse dif f erent ielle de consommation de 
courant permettant de retrouver la cle secrete. 
Ces attaques sont appelees attaques DPA, 
acronyme pour Differential Power Analysis. Le 
principe de ces attaques DPA repose sur le fait 
que la consommation en courant du 

microprocesseur executant des instructions varie 
selon la donnee manipulee . Pour retrouver la 
clef secrete, il est necessaire que le message 
d'entree ou le message de sortie de 1' algorithme 
de chiffrement soient connus. 



Les deux procedes de generation de nombre 
aleatoire decrits precedemment sont done 
vulnerables a des attaques de type attaques DPA. 
En effet, les nombres aleatoires renvoyes en 
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sortie par ces deux procedes sont les messages 
de sortie de 1 ' a 1 g or i t hme de chiffrement. A 
partir de la consomma tion de courant de la carte 
a puce, il est done possible de retrouver la 
5 clef K de chiffrement, et done de prevoir 
ensuite la sortie du generateur aleatoire. 

Le procede de 1' invention consiste en une 
modification des procedes de generations de 
10 nombre aleatoire decrits precedemment de f agon a 
les rendre resistant contre des attaques de type 
DPA. 

Le premier procede modifie de generations de 
15 nombre aleatoire utilise 1'algorithme DES (pour 
Data Encryption Standard) avec une cle secrete 
K, qui ne doit etre utilisee que dans le cadre 
de cet algori thme . II prend en entree un entier 
aleatoire et secret s de taille 64 bits et un 
20 entier m, et renvoie en sortie m entiers 
aleatoires de 64 bits xi, X2, .../ x m . Le procede 
utilise une variable entiere intermediaire y. Le 
procede est caracterise par les trois etapes 
suivantes : 

25 

1) Chiffrer avec 1'algorithme DES utilisant la 
clef k une valeur D representant une 
information de date et mettre le resultat dans 
la variable entiere I. 
30 2) Pour j allant de lam executer les etapes 

suivantes : 

2)a) Remplacer s par s xor I. 
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2)b) Mettre dans la variable entiere y le 
resultat du chiffrement de s avec l'algorithme 
DES utilisant la clef K. 

2)c) Mettre dans xj le resultat de y xor s. 
5 2)d) Remplacer s par y xor I. 

2)e) Mettre dans s le resultat du 
chiffrement de s avec l'algorithme DES utilisant 
la clef K. 

3) Retourner en sortie la suite (xi, x 2 ,..., 
10 x m ) . 

Dans ce procede ameliore de generation de 
nombres aleatoires, une attaque par mesure de 
courant de type DPA est impossible car les 
15 messages d'entree et de sortie de l'algorithme 
de chiffrement DES ne sont pas connus. 

Le second procede ameliore de generation de 
nombre aleatoire est utilise pour augmenter la 
qualite d'un generateur aleatoire dont la 
qualite est jugee ins u f f i san t e . Ce procede prend 
en entree un entier aleatoire et secret s de 
taille 64 bits et un entier m, et renvoie en 
sortie m entiers aleatoires de 64 bits xi, X2,..., 
x m . Le procede utilise l'algorithme DES (pour 
Data Encryption Standard) avec une cle secrete 
K, qui ne doit etre utilisee que dans le cadre 
de cet algorithme. Le procede utilise une source 
S de qualite jugee insuffisante d'entiers 
aleatoires sur 64 bits. Le procede est 
caracterise par les deux etapes suivantes : 



1) Pour j allant de 1 a m faire 



3^^ 
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l)a) Generer un entier I a 1' aide de la 
source S . 

l)b) Remplacer s par s xor I. 

l)c) Mettre dans y le resultat du 
5 chiffrement de s avec 1 ' algor i thme DES utilisant 
la clef K. 

l)d) Mettre dans xi le resultat de y xor s. 
l)e) Remplacer s par y xor I. 

l)f) Mettre dans s le resultat du 
10 chiffrement de s avec l'algorithme DES utilisant 
la clef K. 

3) Retourner en sortie la suite (xi, X2, 
x m ) • 

15 Dans ce procede ameliore de generation de 

nombres aleatoires, une attaque par mesure de 
courant de type DP A est impossible car les 
messages d' entree et de sortie de l'algorithme 
de chiffrement DES ne sont pas connus . 

20 

Les deux procedes de generation de nombre 
aleatoires precedemment decrits permettent done 
d'obtenir un generateur de nombre aleatoire 
resistant contre les attaques par mesure de 
25 courant de type DPA. 
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RE VEND I CAT I ONS 



1- Procede de generation de nombre aleatoire 
utilisant 1 ' algori thme DES (pour Data Encryption 
Standard) avec une cle secrete K, ladite clef K 
ne devant etre utilisee que dans le cadre de cet 
5 algorithme, ledit procede prenant en entree un 
entier aleatoire et secret s de taille 64 bits 
et un parametre entier m, ledit procede 
renvoyant en sortie m entiers aleatoires de 64 
bits xi, X2,..., x m , caracterise en ce qu'il 
10 comprend trois etapes : 

1) Chiffrer avec 1'algorithme DES utilisant la 
clef K une valeur D representant une 
information de date et mettre le resultat dans 
une variable entiere I ; 
15 2) Pour j allant de 1 a m faire : 

2) a) Remplacer s par s xor I ; 

2)b) Mettre dans la variable entiere y le 
resultat du chiffrement de s avec 

1'algorithme DES utilisant la clef K ; 

2 ) c ) Mettre dans x j le resultat de y xor s ; 
2)d) Remplacer s par y xor I ; 

2)e) Mettre dans s le resultat du 
chiffrement de s avec 1'algorithme DES 
utilisant la clef k ; 

3) Retourner en sortie la suite (xi, X2,..., 
x m ) - 

2- Procede de generation de nombre aleatoire 
permettant d'ameliorer la qualite d'un 

generateur aleatoire dont la qualite est jugee 
insuffisante, ledit procede prenant en entree un 
entier aleatoire et secret s de taille 64 bits 
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et un entier m, ledit procede renvoyant en 
sortie m entiers aleatoires de taille 64 bits 
^1/ x2/.-/ x m , ledit procede utilisant 

1 ' algori thme DES (pour Data Encryption Standard) 
5 avec une cle secrete K, qui ne doit etre 
utilisee que dans le cadre de cet algorithme, 
ledit procede utilisant une variable 

intermedi a i r e entiere y, ledit procede utilisant 
une source S de qualite jugee insuffisante 
10 d' entiers aleatoires sur 64 bits xi, X2,..., x m , / 
caracterise en ce qu'il comprend les deux etapes 
suivantes : 

1) Pour j allant de lam faire 

l)a) Generer un entier I a 1' aide de la 
15 source S ; 

l)b) Remplacer s par s xor I ; 

l)c) Mettre dans y le resultat du 
chif f rement de s avec r algorithme DES 
utilisant la clef k ; 
20 l)d) Mettre dans xi le resultat de y xor s ; 

l)e) Remplacer s par y xor I ; 

l)f) Mettre dans s le resultat du 
chiffrement de s avec 1 ' algori thme DES 
utilisant la clef K ; 
25 2) Retourner en sortie la suite (xi, X2, 

x m ) • 

3- Dispositif electronique mettant en oeuvre le 
procede selon l'une quelconque des 

30 revendications 1 et 2 caracterise en ce que le 
dispositif est un dispositif portable. 
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4- Dispositif electronique selon la 
revendication 3 caracterise en ce que le 
dispositif est une carte a puce. 

5 

5- Dispositif electronique selon la 
revendication 3 caracterise en ce que le 
dispositif est une carte sans contact. 

10 6- Dispositif electronique selon la 

revendication 3 caracterise en ce que le 
dispositif est une carte PCMCIA. 

7- Dispositif electronique selon la 
15 revendication 3 caracterise en ce que le 

dispositif est un badge. 

8- Dispositif electronique selon la 
revendication 3 caracterise en ce que le 

20 dispositif est une montre i n t e 1 1 i g en t e . 
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QuTE DE COOPERATION EN MA^=tE DE BREVETS 

PCT 



RAPPORT DE RECHERCHE INTERNATIONALE 
(article 18 et regies 43 et 44 du PCT) 



Rsfsrencs du dossier du deposant ou 
du mandataire 

GEM 736 


POUR SUITE v0 ' r ,a notification de transmission du rapport de recherche internationals 

v (tbrmulaire PCT/ISA/220) et, le cas echeant, le point 5 ci-apres 
A DONNER 


Demande international© n" 

PCT/FR 00/02009 


Date du depot international (jour/mois/ann6e) 

12/07/2000 


(Date de priorits (la plus ancienne) 
(jour/mois/annde) 

15/07/1999 


Deposant 
GEMPLUS 



Le present rapport de recherche intemationale, etabli par I'administration chargee de fa recherche intemationale, est transmis au 
deposant contormement a I'article 18. Une copie en est transmise au Bureau international. 



. feuillss. 



Ce rapport de recherche intemationale com p rend 4 

[X| II est aussi accompagne cTune copie de chaque document relatif a I'etat de la technique qui y est cite. 



1. Base du rapport 

a. En ce qui conceme la langue, la recherche intemationale a ete effectuee sur la base de la demande intemationale dans la 
langue dans laquelle elle a ete deposse, sauf indication contraire donnee sous le meme point. 

I I la recherche intemationale a ete effectuee sur la base ofune traduction de la demande intemationale remise a I'administration. 

LJ < ^ 

b. En ce qui conceme les sequences de nucleotides ou d'acldes amines divulgusss dans la demande intemationale (le cas echeant), 
la recherche intemationale a ete effectuee sur la base du listage des sequences : 
| | contenu dans la demande intemationale, sous forme ecrite. 

deposee avec la demande intemationale, sous fomie dechfffrable par ordinateur. 
[~| remis ufterieurement a radministration, sous forme ecrite. 
[ | remis ufterieurement a radministration, sous forme dechfffrable par ordinateur. 

| [ La declaration, selon laquelle le listage des sequences presents par ecrit et foumi ufterieurement ne vas pas au-dela de la 
divulgation faite dans la demande telle que deposee, a ete foumie. 

| | La declaration, selon laquelle les informations enregistrees sous forme dechiffrable par ordinateur sont identiques a cellos 
du listage des sequences presente par ecrit, a ete foumie. 

2 * O 11 a M certalnes revendlcatlons ne pouvalent pas falre Tobjet d'une recherche (voir le cadre I). 

3. Q H y a absence d'unrte de rin ventlon (voir le cadre II). 

4. En ce qui conceme le tltre, 

PT| le texts est approuve tel qu'il a ete remis par le deposant 
| | Le texts a et6 6tabli par I'administration et a la teneur suivante: 



En ce qui conceme I'abrege, 

| — j le texts est approuve tel qu'il a ete remis par le deposant 

™-, le texte (reproduit dans le cadre III) a ete etabli par radministration confonmement a la regie 38.2b). Le deposant peut 
I a | presenter des observations a I'administration dans un delai c?un mois a compter de la date d'expedrtion du present rapport 
de recherche intemationale. 
La figure des desslns a publier avec Tabrege est la Figure n° 



suggeree par le deposant. H Aucune des figures 

y — n'est a publier. 

| I parce que le deposant n'a pas suggere de figure. 

| | parce que cette figure characterise mieux rinverrtion. 
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• 


Demands internationals n° 


RAPPORT DE RECHERCHE INTERNATIONALE 




PCT/FR 00/02009 



Cadre III TEXTE OE L'ABREGE (suite du point 5 de la premiere feullle) 



1) Chiffrer avec 1 'algorithme DES ut111sant la 
clef K une valeur D representant une 
information de date et mettre le resultat dans 
une variable entiere I ; 

2) Pour j all ant de la m faire : 
2)a) Remplacer s par s xor I ; 

2)b) Mettre dans la variable entiere y le 
resultat du chiffrement de s avec 
T algorithme DES utilisant la clef K ; 

2)c) Mettre dans xj le resultat de y xor s ; 

2)d) Remplacer s par y xor I ; 

2)e) Mettre dans s le resultat du 
chiffrement de s avec T algorithme DES 
utilisant la clef K ; 

3) Retourner en sortie la suite (xl, x2,...,xm). 
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TRAITE DE COOPERATION ElTMATIERE DE Bi 

PCT i wipp 

RAPPORT D'EXAMEN PRELIMINAIRE INTERNATIONAL 

(article 36 et regie 70 du PCT) 




Reference du dossier du deposant ou du 
mandataire 

GEM 736 


voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/IPEA/416) 


Demande intemationale n° 
PCT/FR00/02009 


Date du depot international (jour/mois/ann&e) 
12/07/2000 


Date de priorite (jour/mois/annee) 
15/07/1999 


Classification intemationale des brevets (C1B) ou a la fois classification nationale et CIB 
G06F7/58 


Deposant 

GEMPLUS et al. 







1 . Le present rapport d'examen preliminaire international, etabli par I'administaration chargee de I'examen preliminaire 
international, est transmis au deposant conformement a I'article 36. 

2. Ce RAPPORT comprend 5 feuilles, y compris la presente feuille de couverture. 

□ II est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revendications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupres de 
{'administration chargee de I'examen preliminaire international (voir la regie 70.16 et I'instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 
I IS Base du rapport 



d'application industrielle 



II 


□ 


Hi 


□ 


IV 


□ 


V 




VI 


□ 


VII 


□ 


VIII 





Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 



Observations relatives a la demande Internationale 



Date de presentation de la demande d'examen preliminaire 
intemationale 

13/02/2001 



Norn et adresse postale de I'administration chargee de 
I'examen preliminaire international: 

Office europeen des brevets 
ijrtll D-80298 Munich 

Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax: +49 89 2399 - 4465 



Date d'achevement du present rapport 
29.03.2001 



Fonctionnaire autorise 
Nussbaumer, C 

N° de telephone +49 89 2399 2145 
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RAPPORT D'EXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande international n° PCT/FR00/02009 



1. Base du rapport 

1 . Ce rapport a ete redige sur la base des elements ci-apres (les feuilles de remplacement qui ont ete remises a 
I'office recepteur en reponse a une invitation faite conformement a I'article 14 sont considerees dans le present 
rapport comme "initialement d6posees" et ne sont pas jointes en annexe au rapport puisqu'elles ne contiennent 
pas de modifications (regies 70. 16 et 70.17).) : 

Description, pages: 

1-7 version initiale 

Revendications, N°: 

1-8 version initiale 

2. En ce qui concerne la langue, tous les elements indiques ci-dessus etaient a la disposition de ('administration ou 
lui ont ete remis dans la langue dans laquelle la demande Internationale a ete depos<§e, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient a la disposition de I'administration ou lui ont ete remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche Internationale (selon la regie 23.1(b)). 

□ la langue de publication de la demande internationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen preliminaire internationale (selon la regie 55.2 ou 



3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 
internationale (le cas echeant), I'examen preliminaire internationale a ete effectue sur la base du listage des 
sequences : 

□ contenu dans la demande internationale, sous forme ecrite. 

□ depose avec la demande internationale, sous forme dechiffrable par ordinateur. 

□ remis ulterieurement a I'administration, sous forme ecrite. 

□ remis ulterieurement a I'administration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par ecrit et fourni ulterieurement ne va pas au-del& 
de la divulgation faite dans la demande telle que deposee, a ete fournie. 

□ La declaration, selon laquelle les informations enregistrees sous dechiffrable par ordinateur sont ideritlques k 
celles du listages des sequences Presente par ecrit, a et§ fournie. 

4. Les modifications ont entraine I'annulation : 

□ de la description, pages : 

□ des revendications, n 05 : 

□ des dessins, feuilles : 



55.3). 
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RAPPORT D'EXAMEN 

PRELIMINAIRE INTERNATIONAL Demande internationale n° PCT/FR00/02009 



5. □ Le present rapport a ete formule abstraction faite (de certaines) des modifications, qui ont ete considerees 
comme allant au^dela de I'expose de invention tel qu'il a ete depose, comme ii est indique ci-apres (regie 
70.2(c)) : 

(T oute feuille de remp/acement comportant des modifications de cette nature doit etre indiquee au point 1 et 
annexee au present rapport) 



6. Observations complementaires, le cas echeant : 



V. Declaration motivee selon Tarticle 35(2) quant a la nouveaute, I'activite inventive et la possibilite 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 

Nouveaute Oui : Revendications 1-8 

Non : Revendications 

Activite inventive Oui : Revendications 1 -8 

Non : Revendications 

Possibilite d'application industrielle Oui : Revendications 1 -8 

Non : Revendications 



2. Citations et explications 
voir feuille separee 



VIII. Observations relatives a la demande internationale 

Les observations suivantes sont faites au sujet de la clarte des revendications, de la description et des dessins 
et de la question de savoir si les revendications se fondent entierement sur la description : 
voir feuille separee 
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Concernant le point V 

Declaration motivee selon 1'article 35(2) quant a la nouveaute, I'activite inventive 
et la possibility d'application industrielle; citations et explications a I'appui de 
cette declaration 

1 . L'invention concerne une amelioration d'un procede de generation de nombres 
aleatoires mises au point dans le cadre de systemes cryptographiques tels que 
les generateurs de nombres aleatoires embarques a bord de cartes a puce. 

2. Une methode de generation de nombre aleatoire a partir d'une fonction dont il est 
difficile de calculer I'inverse est specifiee dans le standard ANSI X9.17. 

II est apparu que ['implementation sur carte a puce d'un algorithme de chiffrement 
a cle secrete (par exemple I'algorithme DES) etait vulnerable a des attaques 
consistant en une analyse differentielle de consommation de courant permettant 
de retrouver la cle secrete. Le principe de ces attaques DP A repose sur le fait que 
la consommation en courant du microprocesseur executant des instructions varie 
selon la donnee manipulee. Pour retrouver la clef secrete, il est necessaire que le 
message d'entree ou le message de sortie de I'algorithme de chiffrement soient 
connus. 

Les deux procedes de generation de nombre aleatoire decrits dans la partie 
introductives de la demande sont done vulnerables a des attaques de type 
attaques DPA puisque les nombres aleatoires renvoyes en sortie par ces deux 
procedes sont les messages de sortie de I'algorithme de chiffrement. 
A partir de la consommation de courant de la carte a puce, il est done possible de 
retrouver la clef K de chiffrement, et done de prevoir ensuite la sortie du 
generateur aleatoire. 

3. Le procede de I'invention consiste en une modification des procedes de 
generations de nombre aleatoire decrits precedemment de fagon a les rendre 
resistant contre des attaques de type DPA. Les deux procedes sont modifies en., 
ce qu'une variable entiere intermediare qui prendra la valeur du resultat de 
chiffrement de S avec I'algorithme DES utilisant la cle K est introduite dans la 
boucle de calcul juste apres que S ait ete remplace pas S xor I. 

Dans ce procede ameliore de generation de nombres aleatoires, une attaque par 
mesure de courant de type DPA est impossible car les messages d'entree et de 
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sortie de I'algorithme de chiffrement DES ne sont pas connus. 
Concernant le point VIII 

Observations relatives a la demande internationale 

1 . Seul des signes de reference au(x) dessin(s) sont a mettre entre parentheses 
dans les revendications: le texte "pour Data Encryption Standard" ne doit pas etre 
mis entre parentheses (Article 6 PCT) puisqu'il defini I'acronyme DES. 

2. Les termes "dont la qualite est jugee insufisante" et "de qualite jugee insufisante" 
de la revendication 2 sont vagues et equivoques, et laissent un doute quant a la 
signification des caracteristiques techniques auxquelles ils se referent. L'objet de 
ladite revendication n'est done pas clairement defini (article 6 PCT). Par ailleurs, 
aucune information concernant ce critere de qualite n'est definie dans la 
demande. 
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1 HAITE DE COOPERATION EN ,(ATIERE DE BREVETS 



Exp6diteur: le BUREAU INTERNATIONAL 



PCT 

NOTIFICATION D" ELECTION 

(regie 61.2 du PCT) 


Destinataire: 

Commissioner 

US Department of Commerce 
United States Patent and Trademark 

nffiro PPT 

2011 South Clark Place Room 
CP2/5C24 

Arlinntnn VA 22202 

ETATS-UNIS D'AMERIQUE 

en sa qualite d'office elu 


Date d'expedrtion (jour/mois/annee) 
08 mai 2001 (08.05.01) 


Demande Internationale no 
PCT/FR00/02009 


Reference du dossier du deposant ou du mandataire 
GEM 736 


Date du depot international (jour/mo is/an nee) 
12 juillet 2000 (12.07.00) 


Date de prioriti Gour/mois/annee) 

15 juillet 1999 (15.07.99) 


Deposant 

CORON, Jean-S6bastien etc a . ; . 



1. L'office designe est avise de son election qui a ete faite: 

[X\ dans la demande d'examen preliminaire international presentee a I'administration chargee de I'examen preliminah 
international le: 

13 f6vrier 2001 (13,02.01) 



| | dans une declaration visant une election ulterieure deposee aupres du Bureau international le: 



2. Selection [x] a ete faite 

[ | n'a pas ete faite 

avant I'expiration d'un delai de 19 mois a compter de la date de priorite ou, lorsque la regie 32 s'applique, dans le delai vise 
a la regie 32.2b). 





Fonctionnaire autorise 


Bureau international de I'OMPI 




34, chemin des Colombettes 


Maria Kirchner 


121 1 Geneve 20, Suisse 




no de telecopieur: (41-22) 740.14.35 


no de telephone: (41 -22) 338.83.38 
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